Saltar navegación

Protección de datos en África: una mirada al progreso de los miembros de OGP

Cubierta de papel de protección de datos de África

La adopción mundial de la legislación sobre protección de datos ha sido lenta. Solo el 66% de los países del mundo tiene legislación en vigor, mientras que un 10% adicional tiene proyectos de ley. Los países africanos están detrás de esta tendencia mundial, y solo el 52 por ciento tiene legislación de protección de datos en vigor. De los catorce miembros africanos de OGP, diez estados han promulgado leyes de protección de datos, estos son: Burkina Faso, Cabo Verde, Costa de Marfil, Ghana, Kenia, Liberia, Malawi, Marruecos, Nigeria, Senegal, Seychelles, Sierra Leona, Sudáfrica, y Túnez. Malawi y Nigeria tienen proyectos de ley, y Liberia y Sierra Leona no tienen ley alguna.

Significativamente, los catorce miembros africanos de OGP reconocen el derecho a la privacidad a nivel nacional, y existe un consenso creciente de que el derecho (así como el derecho a estar libre de discriminación ilegal, prejuicio o cualquier otra denegación del debido proceso) debe evolucionar para incluir consideraciones de protección de datos. Es importante destacar que a lo largo del informe se señaló que la regulación de la protección de datos debe lograr un equilibrio adecuado con derechos humanos importantes, como el acceso a la información y la libertad de expresión.

Este informe tiene como objetivo comprender y analizar el contexto y las principales barreras para la protección de datos efectiva en los catorce miembros africanos de OGP y hacer recomendaciones informadas que fortalezcan la protección de datos en el continente africano. Al hacerlo, este informe se centra en tres áreas temáticas que son de particular interés para OGP: transparencia, rendición de cuentas y participación. Dentro de estas áreas temáticas, se analizaron dieciocho áreas de enfoque, que consisten en mecanismos comunes incluidos en la legislación de protección de datos que permiten un marco efectivo y contribuyen a una mayor transparencia, seguimiento semanaly participación.

A continuación se detalla brevemente un resumen de los resultados y hallazgos del análisis contextual y legislativo en cada área temática. 

Para obtener detalles sobre todos los hallazgos y recomendaciones, consulte el informe completo. aquí.

Transparencia

La transparencia es un principio importante de la legislación de protección de datos: genera confianza entre el interesado y el responsable del tratamiento, y faculta al interesado para ejercer control sobre sus datos y tomar decisiones informadas sobre qué proveedores de servicios utilizar. Además, permite a los interesados ​​buscar reparación si es necesario y trabaja para aumentar la rendición de cuentas. La legislación de todos los miembros africanos de OGP incluía cierto compromiso con la transparencia, y cinco miembros la incluyeron explícitamente como condición para el procesamiento legal. Las partes interesadas reconocieron que la transparencia, como mínimo, requiere la publicación de información, específicamente relacionada con los controladores y procesadores de datos.

Dentro de esta área temática, se analizaron cuatro áreas de enfoque, vea los hallazgos y recomendaciones para cada una, a continuación:

  • El derecho a la notificación
    • Doce miembros de OGP otorgan a los interesados ​​el derecho a ser notificados de que se están procesando sus datos personales.
    • En ausencia de una notificación por parte de un controlador de datos de que se están procesando los datos personales de un sujeto de datos, es posible que el sujeto de datos no tenga conocimiento del incumplimiento, lo que socava su capacidad para ejercer derechos adicionales.
  • Notificación de incumplimiento  
    • Solo cuatro miembros requieren notificación en caso de violación de datos.
    • Se señaló que la obligación de notificar a un interesado en caso de violación de datos contribuye a una mayor transparencia y permite que el interesado controle sus datos personales. El propósito de tal obligación puede verse socavado por el texto legal de tres maneras: (1) por la ausencia de un plazo prescrito para la notificación; (2) mediante el uso de términos vagos para el período de notificación; y (3) mediante la inclusión de excepciones que permitan la no presentación de informes.
  • Registros de procesamiento de datos
    • Ocho miembros de OGP requieren el desarrollo de un registro de procesamiento de datos, que es un paquete consolidado de información que la autoridad reguladora desarrolla y mantiene. Para ser eficaz, contribuir a la transparencia y permitir el ejercicio de los derechos de los interesados, el registro debe ser accesible, lo que requiere acceso digital.
  • Iconos de condiciones de servicio
    • Ninguno de los miembros requiere el uso de iconos de términos de servicio.

Recomendaciones para fortalecer la transparencia

  • Se deben realizar auditorías proactivas de los controladores de datos para confirmar su cumplimiento con la legislación de protección de datos. Dichas auditorías son útiles para asegurar que los interesados ​​hayan sido notificados de que sus datos personales están siendo procesados, lo que permitirá el ejercicio de derechos adicionales. Se prevé que los miembros serán los actores implementadores, aunque los actores del sector privado también pueden considerar la realización de tales auditorías.
  • La obligación de notificar a la autoridad reguladora y a los interesados ​​en caso de incumplimiento debe prescribir plazos específicos y determinados. El uso de plazos vagos está expuesto a abusos y puede conducir al incumplimiento. Se prevé que los miembros serán los agentes de ejecución.
  • Los registros de procesamiento de datos deben ponerse a disposición del público. Cualquier tarifa prescrita no debe limitar el acceso a ciertos miembros del público. El mecanismo que da acceso al registro debe ser accesible y se recomienda incluir el acceso digital. Se prevé que los miembros serán los agentes de ejecución.
  • Los mecanismos o procesos que permitan el ejercicio del derecho de acceso a la información deben ser accesibles. Se prevé que los responsables del tratamiento serán los agentes de ejecución.

Responsabilidad

La rendición de cuentas en la protección de datos depende del contexto, lo que dificulta el desarrollo de reglas o estándares uniformes para un marco institucional de rendición de cuentas. Sin embargo, se han incluido ciertas medidas comunes en la legislación de protección de datos de los miembros africanos de OGP, la más destacada de las cuales incluye el nombramiento de una autoridad reguladora encargada de hacer cumplir la ley. La legislación de protección de datos prevé varias medidas y mecanismos de rendición de cuentas que permiten a los diferentes actores responsabilizar a los distintos directores. Este informe explora estos mecanismos en tres relaciones de responsabilidad a continuación:

Mecanismos para que el interesado haga responsable al responsable del tratamiento

  • Responsabilidad civil
    • La eficacia de la responsabilidad civil se ve socavada por la falta de experiencia en el poder judicial, el servicio de policía y la profesión jurídica.

Mecanismos de la autoridad reguladora para responsabilizar al controlador de datos

  • El poder de investigar
    • Este poder tiene un impacto significativo en la capacidad de una autoridad reguladora para sancionar a las partes que no cumplen y requiere que tenga los recursos y la capacidad necesarios, ya que las investigaciones sobre el incumplimiento implican un alto nivel de experiencia técnica. Esto, a su vez, requiere que la autoridad reguladora cuente con los recursos adecuados con dicha experiencia técnica.
    • Nueve de los doce miembros otorgan a las autoridades reguladoras tales poderes de acceso e incautación.
  • El poder de sancionar
    • Las partes interesadas señalaron que una sanción solo será efectiva si es prohibitiva, lo que requiere que la multa sea lo suficientemente alta como para actuar como disuasivo. Cantidades legislativamente bajas debilitan el papel de la autoridad reguladora.
    • La legislación de once de los doce miembros prevé sanciones penales y siete de los doce miembros prevén sanciones administrativas que generalmente incluyen la imposición de una multa.
  •  Independencia
    • La independencia institucional se ve socavada por preocupaciones relacionadas con el presupuesto, la colaboración y los requisitos de presentación de informes, y la seguridad de la tenencia, lo que a su vez puede socavar la independencia de las decisiones.
  • Recursos
    • Para que la autoridad reguladora funcione con eficacia, se requieren recursos financieros suficientes para contratar miembros del personal debidamente capacitados.

Mecanismos para que el público responsabilice a la autoridad reguladora

  • Reportes regulares
    • La autoridad reguladora debe proporcionar informes disponibles públicamente que permitan a los actores externos responsabilizarla.
    • La legislación de nueve de los doce miembros de OGP requiere que la autoridad reguladora presente un informe anual.

 Recomendaciones para fortalecer la rendición de cuentas

  • Todos los actores clave en el ecosistema de rendición de cuentas deben tener la capacidad técnica y los conocimientos necesarios para manejar los asuntos de protección de datos. Esto incluye a miembros de la autoridad reguladora, miembros del servicio de policía, abogados y jueces. Todos estos actores deben estar debidamente capacitados con las habilidades para determinar si se ha producido una violación de la protección de datos y para comprender y hacer cumplir las soluciones adecuadas. Se prevé que los miembros, las autoridades reguladoras y los organismos profesionales serán los actores implementadores.
  • Deben designarse tribunales especializados, o unidades y registros dentro de los tribunales, para que se pronuncien sobre cuestiones de protección de datos. Se prevé que los miembros serán los agentes de ejecución.
  • Las sanciones en términos de multas pecuniarias deben ser lo suficientemente elevadas para actuar como disuasivo. Se prevé que los miembros serán los agentes de ejecución.
  • Debe garantizarse la independencia institucional de la autoridad reguladora a fin de garantizar la independencia de las decisiones; esto requiere un modelo financiero sostenible que asegure la independencia financiera de la autoridad reguladora. Se prevé que los miembros serán los agentes de ejecución.
  • La autoridad reguladora debe estar debidamente capacitada. Esto requiere fondos suficientes para emplear personal técnicamente calificado. Los miembros de la autoridad reguladora deben considerar formas alternativas de aprovechar las habilidades técnicas, como asociaciones público-privadas, el desarrollo de redes y pasantías. Se prevé que los miembros y las autoridades reguladoras serán los actores implementadores.
  • La autoridad reguladora debe informar públicamente sobre sus actividades y funciones para permitir que los actores externos la responsabilicen. Se recomienda que dichos informes se publiquen trimestralmente y que incluyan estadísticas e información desglosadas. Se prevé que las autoridades reguladoras serán los agentes de ejecución.

Participación

Esta área temática se refiere a la participación en tres instancias: en primer lugar, la participación y el control de los interesados ​​en el tratamiento de sus datos personales; en segundo lugar, la participación de la autoridad reguladora a nivel nacional a través de su compromiso con las partes interesadas y su capacidad para participar en los desarrollos legislativos y de políticas; y tercero, la participación de la autoridad reguladora a nivel regional a través de su cooperación en asociaciones, redes y organizaciones regionales. Dentro de esta área temática, se analizaron seis áreas de enfoque: el derecho de acceso a los datos personales, el derecho a solicitar la corrección o eliminación de los datos personales, el consentimiento, la participación de las partes interesadas, la formulación de políticas y la participación de la autoridad reguladora.

Participación del interesado

  • El derecho a acceder a los datos personales
    • Este derecho se ve socavado de dos maneras: (1) existe una brecha entre el tipo de información requerida para presentar una queja y el tipo de información a la que tiene acceso el interesado, lo que a su vez socava el derecho del interesado a un recurso efectivo; y (2) se vuelve inaccesible por procesos que son inciertos, son complicados o presentan obstáculos complejos de lenguaje y alfabetización.
    • Doce miembros de OGP otorgan a los interesados ​​el derecho a acceder a sus datos personales.
  • El derecho a solicitar la corrección o eliminación de datos personales
    • Estos derechos se basan en el conocimiento del interesado de que un controlador de datos está procesando sus datos personales y, en consecuencia, está habilitado a través de este derecho a solicitar acceso y su derecho de notificación. La vulneración de estos derechos disminuye su capacidad para ejercer el derecho a solicitar la rectificación o supresión de sus datos personales.
    • Doce miembros de OGP otorgan a los interesados ​​el derecho a solicitar la corrección o eliminación de sus datos personales.
  • Consentimiento
    • Por lo general, los miembros de OGP no requieren el consentimiento de aceptación.
    • Kenia es el único miembro que requiere expresamente su consentimiento.

Participación nacional de la autoridad reguladora

  • Participación de los Interesados
    • La participación efectiva requiere que la autoridad reguladora tenga un mandato transversal para facilitar la participación de múltiples partes interesadas, y requiere que las partes interesadas tengan acceso directo a la autoridad reguladora.
  • El mandato de la autoridad reguladora de participar en la formulación de políticas
    • La autoridad reguladora tendrá la experiencia relevante para guiar la política de protección de datos y su inclusión en el proceso brinda una oportunidad para fortalecer las debilidades que existen en el sistema regulatorio.
    • Ocho de los doce miembros están facultados para participar en la política nacional.

Participación regional e internacional de la autoridad reguladora

  • Participación de la autoridad reguladora en organismos regionales
    • La protección de datos efectiva requiere que la autoridad reguladora se integre en asociaciones regionales para ayudar con la coordinación y el desarrollo de jurisprudencia y recursos.

Recomendaciones para fortalecer la participación

  • Se deben realizar auditorías para determinar a qué información tiene acceso un interesado y qué información se requiere para presentar una queja. Los dos deben alinearse para permitir que el interesado ejerza su derecho a un recurso efectivo. Se prevé que los responsables del tratamiento serán los agentes de ejecución.
  • Los responsables del tratamiento deben asegurarse de que el proceso que implementan para realizar el derecho del interesado a solicitar acceso a sus datos personales sea claro, seguro y tenga en cuenta las barreras contextuales del lenguaje y la alfabetización. La ley debe establecer requisitos mínimos que indiquen un plazo para la respuesta, no debe implicar un costo y la información debe proporcionarse en un formato inteligible. Se prevé que los responsables del tratamiento y los miembros serán los agentes de ejecución.
  • La participación de los interesados ​​se ve socavada por la falta de conocimiento de los derechos de los interesados. Deben llevarse a cabo campañas de concienciación para facilitar la participación de los interesados. Se recomienda que vincular las preocupaciones sobre la protección de datos con los daños de la vida real haga que el contenido sea más accesible. Se prevé que las autoridades reguladoras, los miembros y las organizaciones de la sociedad civil serán los actores implementadores.
  • La autoridad reguladora debe tener un mandato transversal y la capacidad de facilitar conversaciones entre múltiples partes interesadas. Se prevé que los miembros y las autoridades reguladoras serán los actores implementadores.
  • La protección de datos debe ser un proceso participativo: para permitir esto, las autoridades reguladoras deben consultar con las partes interesadas antes de publicar documentos regulatorios como notas de orientación. Se prevé que las autoridades reguladoras serán los actores implementadores.
  • Debería establecerse un organismo o mecanismo que permita una mayor cooperación regional. Se recomienda que dicha coordinación se lleve a cabo a nivel de la Unión Africana y que se establezca una oficina similar a la Junta Europea de Protección de Datos. Dicho organismo podría proporcionar orientación regional a los estados sobre cuestiones de protección de datos. Se prevé que los miembros y la Unión Africana serán los agentes de ejecución.

La información de este informe es al 1 de julio de 2021.

Agradecimientos

OGP desea agradecer a las siguientes partes interesadas que generosamente dieron su tiempo para contribuir a este informe y cuya aportación ha sido invaluable: Alison Tilley, Amrit Labhuram, Anri Van der Spuy, Chawki Gaddes, Fatou Jagne, Gabriella Razzano, 'Gbenga Sesan, Grace Bomu, Hlengiwe Dube, Mugambi Laibuta, Mustafa Mahmoud, Teki Akuetteh Falconer y las cuatro partes interesadas que deseaban permanecer en el anonimato.

Por la redacción de este informe, OGP agradece a Tara Davis de ALT Advisory, con el apoyo de Avani Singh y Wendy Trott. Por las revisiones iniciales del borrador preliminar de este informe, OGP agradece a Michael Power, Joseph Foti, Sandy Arce y Jessica Hickle.

Descargas

Comentarios (1)

Amine BYAD Responder

Can you please indicate where in Kenya’s DP act opt-in is expressly mentioned ?

Deje su comentario.

Tu dirección de correo electrónico no será publicada.Los campos obligatorios están marcados *

Open Government Partnership